Los atacantes diversifican sus técnicas de ofuscación para no ser detectados

  • Endpoint

Las técnicas de protección son más avanzadas incluso que el malware al que protegen. Entre ellas destacan la ofuscación de cadenas de código y la ofuscación del flujo de control, que buscan hacer creer a las herramientas de ciberseguridad que se trata de archivos legítimos.

En el transcurso de sus investigaciones sobre la botnet Stantinko, investigadores de ESET han desvelado diferentes técnicas de ofuscación que llevan a cabo los ciberdelincuentes con el objetivo de evitar la detección de sus amenazas y frustrar las estrategias de los responsables de seguridad. “Las técnicas de protección que encontramos en nuestros análisis son más avanzadas incluso que el malware al que protegen y algunas de ellas no se habían descrito públicamente hasta ahora”, comenta Vladislav Hrčka, analista de ESET. “Hemos analizado profundamente estas técnicas para describir las medidas que se pueden tomar contra ellas”.

Recomendados: 

Informe IT Trends: 2020, el año de la consolidación digital Leer

Ciberseguridad en 2020, ¿qué podemos esperar? Registro

Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Entre las técnicas de protección que utilizan los ciberdelincuentes destacan las de ofuscación de cadenas de código y la ofuscación del flujo de control. En la ofuscación de las cadenas entran en juego aquellas cadenas que se construyen y solo están presentes en la memoria cuando se van a utilizar. En el caso de la ofuscación del flujo de control, este se transforma de manera que se hace complicado de leer, ya que el orden de ejecución de bloques básicos se convierte en impredecible sin un análisis extensivo.

Además de estas dos técnicas, los ciberdelincuentes también utilizan otras, como código muerto, código que no hace nada o recursos y cadenas de código sin una función aparente. Todas estas técnicas buscan prevenir la detección, haciendo creer a las herramientas de ciberseguridad que se trata de archivos legítimos. Es más, algunas de ellas, además, han sido diseñadas específicamente para saltarse las detecciones por comportamiento.